Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Crie uma VPN de site para site

Você está aqui: VPN > rede > VPN IPsec.

Para criar uma VPN de site para site:

  1. Clique em Criar VPN e selecionar Site para Site no lado superior direito da página de VPN IPsec.

    A página criar site para site VPN aparece.

  2. Preencha a configuração de acordo com as diretrizes fornecidas na Tabela 1 até a Tabela 6.

    A conectividade VPN mudará de linha cinza para azul na topologia para mostrar que a configuração está completa.

  3. Clique em Salvar para salvar as mudanças.

    Se quiser descartar suas alterações, clique em Cancelar.

Tabela 1: Campos na página de VPN Create IPsec

Campo

Ação

Nome

Insira um nome para VPN.

Descrição

Insira uma descrição. Esta descrição será usada para as propostas e políticas IKE e IPsec. Durante a edição, a descrição da política do IPsec será exibida e atualizada.

Modo de roteamento

Selecione o modo de roteamento ao qual esta VPN estará associada:

  • Seletor de tráfego (inserção de rota automática)

  • Roteamento estático

  • Roteamento dinâmico — OSPF

  • Roteamento dinâmico — BGP

Para cada topologia, a J-Web auto gera as CLIs relevantes. Seletor de tráfego é o modo padrão.

Método de autenticação

Selecione um método de autenticação da lista que o dispositivo usa para autenticar a fonte de mensagens de Troca de chaves da Internet (IKE):

  • Baseado em certificado — Tipos de assinaturas digitais, que são certificados que confirmam a identidade do titular do certificado.

    Os seguintes são os métodos de autenticação para um certificado baseado:

    • rsa-signatures — especifica que um algoritmo de chave pública, que oferece suporte a criptografia e assinaturas digitais, é usado.

    • dsa-signatures — especifica que o algoritmo de assinatura digital (DSA) é usado.

    • ecdsa-signatures-256 — especifica que a Curva Elíptica DSA (ECDSA) usando a curva elíptica secp256r1 de 256 bits, conforme especificado no Padrão de Assinatura Digital (FIPS) Padrão de Assinatura Digital (DSS) 186-3, é usado.

    • ecdsa-signatures-384 — especifica que a ECDSA usando a curva elíptica secp384r1 de 384 bits, conforme especificado no FIPS DSS 186-3, é usado.

    • ecdsa-signatures-521 — especifica que a ECDSA usando a curva elíptica secp521r1 de 521 bits é usada.

      Nota:

      A ecdsa-signatures-521 oferece suporte apenas SRX5000 linha de dispositivos com placa SPC3 e pacote junos-ike instalados.

  • Chave pré-compartilhada (método padrão)— Especifica que uma chave pré-compartilhada, que é uma chave secreta compartilhada entre os dois pares, é usada durante a autenticação para identificar os pares entre si. A mesma chave deve ser configurada para cada peer. Este é o método padrão.

Política de firewall de criação automática

Se você selecionar Sim, uma política de firewall é automaticamente entre zona interna e zona de interface de túnel com redes protegidas locais como endereço fonte e redes protegidas remotas como endereço de destino.

Outra política de firewall será criada visa-versa.

Se você escolher Não, você não tem uma opção de política de firewall. Você precisa criar manualmente a política de firewall necessária para fazer essa VPN funcionar.

Nota:

Se você não quiser criar automaticamente uma política de firewall no fluxo de trabalho de VPN, a rede protegida fica oculta para roteamento dinâmico em gateway local e remoto.

Gateway remoto

Exibe o ícone de gateway remoto na topologia. Clique no ícone para configurar o gateway remoto.

O gateway identifica o peer remoto com os pares de VPN IPsec e define os parâmetros apropriados para essa VPN IPsec.

Para obter informações sobre os campos, veja Tabela 2.

Local Gateway

Exibe o ícone de gateway local na topologia. Clique no ícone para configurar o gateway local.

Para obter informações sobre os campos, veja Tabela 4.

Configurações de IKE e IPsec

Configure a proposta de IKE ou IPsec personalizada e a proposta de IPsec personalizada com algoritmos ou valores recomendados.

Para obter informações sobre os campos, veja Tabela 6.

Nota:
  • A J-Web oferece suporte a apenas uma proposta IKE personalizada e não oferece suporte ao conjunto predefinido de propostas. Após a edição e a salvação, a J-Web exclui o conjunto de propostas predefinida se configurado.

  • No gateway remoto do túnel VPN, você deve configurar a mesma proposta e política personalizadas.

  • Após a edição, a J-Web mostra a primeira proposta personalizada de IKE e IPsec quando mais de uma proposta personalizada é configurada.

Tabela 2: Campos na página de gateway remoto

Campo

Ação

O gateway está por trás do NAT

Se habilitado, o endereço IP externo configurado (IPv4 ou IPv6) é referido como o endereço IP do dispositivo NAT.

Identidade IKE

Selecione uma opção da lista para configurar a identidade remota.

Nome do host

Insira um nome de host remoto.

Endereço IPv4

Insira um endereço IPv4 remoto.

Endereço IPv6

Insira um endereço IPv6 remoto.

ID chave

Digite uma ID chave.

Endereço de e-mail

Digite um endereço de e-mail.

Endereço IP externo

Digite o endereço IPv4 ou IPv6 peer. Você pode criar uma rede peer primária com até quatro backups.

Você deve inserir um endereço IPv4 ou IPv6 ou digitar até cinco endereços IP separados por vírgula.

Redes protegidas

Ao selecionar um modo de roteamento, lista todos os endereços globais(es).

Selecione os endereços da coluna Disponível e clique na seta direita para movê-los para a coluna Selecionada.

Quando o modo de roteamento é:

  • Seletor de tráfego — os endereços IP serão usados como IP remoto na configuração do seletor de tráfego.

  • Roteamento estático:

    • A rota estática será configurada para o endereço global(es) selecionado.

    • A interface de túnel (st0.x) do gateway local será usada como o próximo salto.

  • Roteamento dinâmico — o valor padrão é qualquer. Você também pode selecionar endereços globais específicos(es). O valor selecionado é configurado como endereço de destino na política de firewall.

Adicionar

Clique em +.

A página criar endereço global aparece. Consulte a Tabela 3 para obter informações sobre os campos.

Tabela 3: Campos na página de endereço global Criar

Campo

Ação

Nome

Insira uma corda única que deve começar com um caractere alfanumérico e que pode incluir cólons, períodos, traços e sublinhados; sem espaço permitido; Máximo de 63 caracteres.

Tipo de IP

Selecione IPv4 ou IPv6.

IPv4

Endereço IPv4 — Digite um endereço IPv4 válido.

Sub-rede — Insira a sub-rede para endereço IPv4.

IPv6

Endereço IPv6 — Digite um endereço IPv6 válido.

Prefixo de sub-rede — Insira uma máscara de sub-rede para a faixa de rede. Uma vez inscrito, o valor é validado.

Tabela 4: Campos na página local do gateway

Campo

Ação

O gateway está por trás do NAT

Habilite essa opção quando o gateway local estiver por trás de um dispositivo NAT.

Identidade IKE

Selecione uma opção da lista para configurar a identidade local. Quando o Gateway está por trás do NAT , você pode configurar um endereço IPv4 ou IPv6 para fazer referência ao dispositivo NAT.

Nome do host

Insira um nome de host.

Nota:

Essa opção só estará disponível se o Gateway estiver por trás do NAT ser desativado.

Endereço IPv4

Digite um endereço IPv4.

Endereço IPv6

Digite um endereço IPv6.

ID chave

Digite uma ID chave.

Nota:

Essa opção só estará disponível se o Gateway estiver por trás do NAT ser desativado.

Endereço de e-mail

Digite um endereço de e-mail.

Nota:

Essa opção só estará disponível se o Gateway estiver por trás do NAT ser desativado.

Interface externa

Selecione uma interface de saída da lista para negociações de IKE.

A lista contém todos os endereços IP disponíveis se mais de um endereço IP estiver configurado na interface especificada. O endereço IP selecionado será configurado como o endereço local sob o gateway IKE.

Interface de túnel

Selecione uma interface da lista para vinculá-la à interface de túnel (VPN baseada em rota).

Clique em Adicionar para adicionar uma nova interface. A página De criar interface de túnel é exibida. Veja a tabela 5.

ID do roteador

Digite o endereço IP do dispositivo de roteamento.

Nota:

Essa opção estará disponível se o modo de roteamento for Roteamento Dinâmico - OSPF ou BGP.

ID da área

Insira um ID de área dentro da faixa de 0 a 4.294.967.295, onde as interfaces de túnel desta VPN precisam ser configuradas.

Nota:

Essa opção estará disponível se o modo de roteamento for Roteamento Dinâmico - OSPF.

Interface passiva de túnel

Habilite essa opção de ignorar o tráfego das verificações de IP ativas habituais.

Nota:

Essa opção estará disponível se o modo de roteamento for Roteamento Dinâmico - OSPF.

ASN

Digite o número AS do dispositivo de roteamento.

Use um número atribuído a você pela NIC. Intervalo: 1 a 4.294.967.295 (232 – 1) em formato de número simples para números AS de 4 byte.

Nota:

Essa opção estará disponível se o modo de roteamento for roteamento dinâmico — BGP.

ID do vizinho

Digite o endereço IP de um roteador vizinho.

Nota:

Essa opção estará disponível se o modo de roteamento for roteamento dinâmico — BGP.

Tipo de grupo BGP

Selecione o tipo de grupo de peer BGP da lista:

  • externo — grupo externo, que permite o roteamento BGP entre AS.

  • interno — grupo interno, que permite o roteamento BGP intra-AS.

Nota:

Essa opção estará disponível se o modo de roteamento for roteamento dinâmico — BGP.

Peer ASN

Digite o número do sistema autônomo (AS) vizinho (peer).

Nota:

Essa opção estará disponível se você escolher externo como Tipo de Grupo BGP.

Políticas de importação

Selecione uma ou mais políticas de roteamento da lista para rotas que estão sendo importadas na tabela de roteamento a partir do BGP.

Clique em Limpar tudo para limpar as polícias selecionadas.

Nota:

Essa opção estará disponível se o modo de roteamento for roteamento dinâmico — BGP.

Políticas de exportação

Selecione uma ou mais políticas da lista para as rotas que estão sendo exportadas da tabela de roteamento para o BGP.

Clique em Limpar tudo para limpar as polícias selecionadas.

Nota:

Essa opção estará disponível se o modo de roteamento for roteamento dinâmico — BGP.

Certificado local

Selecione um identificador de certificado local quando o dispositivo local tiver vários certificados carregados.

Nota:

Essa opção estará disponível se o método de autenticação for baseado em certificados.

Clique em Adicionar para gerar um novo certificado. Clique em Importar para importar um certificado de dispositivo. Para obter mais informações, veja Certificados de gerenciamento de dispositivos.

CA/Grupo confiável

Selecione o perfil da autoridade de certificados (CA) da lista para associá-lo ao certificado local.

Nota:

Essa opção estará disponível se o método de autenticação for baseado em certificados.

Clique em Adicionar para adicionar um novo perfil de CA. Para obter mais informações, veja Gerenciar a Autoridade de Certificados Confiáveis.

Chave pré-compartilhada

Digite o valor da chave pré-compartilhada. A chave pode ser um dos seguintes:

  • ascii-text — chave de texto ASCII.

  • hexadecimal — chave hexadecimal.

Nota:

Essa opção estará disponível se o método de autenticação for chave pré-compartilhada.

Redes protegidas

Clique em +. A página Criar redes protegidas aparece.

Criar redes protegidas

Zona

Selecione uma zona de segurança da lista que será usada como zona de origem na política de firewall.

Endereço global

Selecione os endereços da coluna Disponível e clique na seta direita para movê-los para a coluna Selecionada.

Adicionar

Clique em Adicionar.

A página criar endereço global aparece. Veja a tabela 3.

Editar

Selecione a rede protegida que deseja editar e clique no ícone de lápis.

A página Editar endereço global aparece com campos editáveis.

Excluir

Selecione a rede protegida que deseja editar e clique no ícone de exclusão.

A mensagem de confirmação aparece.

Clique em Sim para excluir.

Tabela 5: Campos na página de interface de túnel de criação

Campo

Ação

Unidade de interface

Digite o número da unidade lógica.

Descrição

Insira uma descrição para a interface lógica.

Zona

Selecione uma zona para a interface lógica da lista para usar como zona de origem na política de firewall.

Clique em Adicionar para adicionar uma nova zona. Insira o nome e a descrição da zona e clique em OK na página criar zona de segurança.

Instância de roteamento

Selecione uma instância de roteamento da lista.

IPv4
Nota:

Essa opção só estará disponível se você selecionar o modo de roteamento como Roteamento Dinâmico - OSPF ou BGP.

Endereço IPv4

Insira um endereço IPv4 válido.

Prefixo de sub-rede

Digite uma máscara de sub-rede para o endereço IPv4.

IPv6
Nota:

Essa opção só estará disponível se você selecionar o modo de roteamento como Roteamento Dinâmico - OSPF ou BGP.

Endereço IPv6

Insira um endereço IPv6 válido.

Prefixo de sub-rede

Insira uma máscara de sub-rede para o intervalo da rede. Uma vez inscrito, o valor é validado.

Tabela 6: Configurações de IKE e IPsec

Campo

Ação

Configurações do IKE

Versão IKE

Selecione a versão IKE necessária, v1 ou v2 para negociar associações de segurança dinâmica (SAs) para IPsec.

O valor padrão é v2.

Modo IKE

Selecione o modo de política de IKE da lista:

  • agressivo — Pegue metade do número de mensagens do modo principal, tem menos poder de negociação e não fornece proteção contra identidade.

  • principal — Use seis mensagens, em três trocas peer-to-peer, para estabelecer o IKE SA. Essas três etapas incluem a negociação da SA IKE, uma troca Diffie-Hellman e a autenticação do peer. Também fornece proteção contra identidade.

Algoritmo de criptografia

Selecione o mecanismo de criptografia apropriado da lista.

O valor padrão é aes-256-gcm.

Algoritmo de autenticação

Selecione o algoritmo de autenticação da lista. Por exemplo, o hmac-md5-96 — produz uma digestão de 128 bits e hmac-sha1-96 — produz uma digestão de 160 bits.

Nota:

Essa opção está disponível quando o algoritmo de criptografia não é gcm.

Grupo DH

Uma troca de Diffie-Hellman (DH) permite que os participantes gerem um valor secreto compartilhado. Selecione o grupo DH apropriado da lista. O valor padrão é o grupo19.

Segundos de vida útil

Selecione uma vida útil de uma associação de segurança IKE (SA). Padrão: 28.800 segundos. Alcance: 180 a 86.400 segundos.

Detecção de peer morto

Habilite essa opção de enviar solicitações de detecção de peer inativos, independentemente de haver tráfego IPsec de saída para o peer.

Modo DPD

Selecione uma das opções da lista:

  • otimizado — Envie sondagens apenas quando houver tráfego de saída e sem tráfego de dados de entrada — RFC3706 (modo padrão).

  • probe-idle-tunnel — Envie sondas da mesma forma que no modo otimizado e também quando não houver tráfego de dados de saída e de entrada.

  • sempre enviar — Envie sondagens periodicamente, independentemente do tráfego de dados de entrada e saída.

Intervalo de DPD

Selecione um intervalo em segundos para enviar mensagens de detecção de peer inativos. O intervalo padrão é de 10 segundos. O intervalo é de 2 a 60 segundos.

Limite de DPD

Selecione um número de 1 a 5 para definir o limite de DPD de falha.

Isso especifica o número máximo de vezes que as mensagens DPD devem ser enviadas quando não há resposta do peer. O número padrão de transmissões é de 5 vezes.

Configuração avançada (opcional)

ID geral de IKE

Habilite essa opção de aceitar a ID ID de IKE por peer.

Re-autenticação do IKEv2

Configure a frequência de reauthenticação para ativar uma nova reauthenticação do IKEv2.

Re-fragmentação do IKEv2

Essa opção é habilitada por padrão.

Tamanho do novo fragmento do IKEv2

Selecione o tamanho máximo, em bytes, de uma mensagem IKEv2 antes de ser dividida em fragmentos.

O tamanho se aplica a mensagens IPv4 e IPv6. Intervalo: 570 a 1320 bytes.

Os valores padrão são:

  • Mensagens IPv4 — 576 bytes.

  • Mensagens IPv6 — 1280 bytes.

NAT-T

Habilite essa opção para o tráfego IPsec passar por um dispositivo NAT.

NAT-T é um algoritmo de fase 1 do IKE que é usado ao tentar estabelecer uma conexão VPN entre dois dispositivos de gateway, onde há um dispositivo NAT na frente de um dos dispositivos da Série SRX.

NAT Keep Alive

Selecione o intervalo keepalive apropriado em segundos. Faixa: 1 a 300.

Se espera-se que a VPN tenha grandes períodos de inatividade, você pode configurar valores keepalive para gerar tráfego artificial para manter a sessão ativa nos dispositivos NAT.

Configurações do IPsec

Protocolo

Selecione o protocolo de protocolo de segurança de encapsulamento (ESP) ou o cabeçalho de autenticação (AH) da lista para estabelecer VPN. O valor padrão é ESP.

Algoritmo de criptografia

Selecione o método de criptografia. O valor padrão é aes-256-gcm.

Nota:

Essa opção está disponível apenas para o protocolo ESP.

Algoritmo de autenticação

Selecione o algoritmo de autenticação IPsec da lista. Por exemplo, o hmac-md5-96 — produz uma digestão de 128 bits e hmac-sha1-96 — produz uma digestão de 160 bits.

Nota:

Essa opção está disponível quando o algoritmo de criptografia não é gcm.

Sigilo perfeito para o futuro

Selecione o sigilo de encaminhamento perfeito (PFS) da lista. O dispositivo usa esse método para gerar a chave de criptografia. O valor padrão é o grupo19.

O PFS gera cada nova chave de criptografia independentemente da chave anterior. Os grupos com maior número oferecem mais segurança, mas exigem mais tempo de processamento.

Nota:

grupo15, grupo16 e group21 oferecem suporte apenas à linha SRX5000 de dispositivos com uma placa SPC3 e um pacote junos-ike instalados.

Segundos de vida útil

Selecione a vida útil (em segundos) de uma associação de segurança IPsec (SA). Quando a SA expira, ela é substituída por uma nova SA e índice de parâmetros de segurança (SPI) ou terminada. O padrão é de 3.600 segundos. Alcance: 180 a 86.400 segundos.

Kilobytes vitalícios

Selecione a vida útil (em kilobytes) de um IPsec SA. O padrão é de 128kb. Intervalo: 64 a 4294967294.

Estabelecer túnel

Habilite essa opção para estabelecer o túnel IPsec. O IKE é ativado imediatamente (valor padrão) depois que uma VPN é configurada e as mudanças de configuração são comprometidas.

Configuração avançada

VPN Monitor

Habilite essa opção para usá-la em um endereço IP de destino.

Nota:

Essa opção não está disponível para o modo de roteamento de seletores de tráfego.

IP de destino

Insira o destino dos pings do Protocolo de Mensagem de Controle de Internet (ICMP). O dispositivo usa o endereço de gateway do peer por padrão.

Nota:

Essa opção não está disponível para o modo de roteamento de seletores de tráfego.

Otimizado

Habilite essa opção para o objeto VPN. Se habilitado, o dispositivo da Série SRX envia apenas solicitações de eco de ICMP (pings) quando há tráfego de saída e sem tráfego de entrada do peer configurado através do túnel VPN. Se houver tráfego de entrada pelo túnel VPN, o dispositivo da Série SRX considera o túnel ativo e não envia pings para o peer.

Essa opção é desabilitada por padrão.

Nota:

Essa opção não está disponível para o modo de roteamento de seletores de tráfego.

Interface de origem

Selecione a interface de origem para solicitações de ICMP da lista. Se nenhuma interface de origem for especificada, o dispositivo usa automaticamente a interface local de endpoint do túnel.

Nota:

Essa opção não está disponível para o modo de roteamento de seletores de tráfego.

Caminho de verificação

Habilite essa opção para verificar o datapath IPsec antes que a interface de túnel seguro (st0) seja ativada e as rotas associadas à interface sejam instaladas na tabela de encaminhamento do Junos OS.

Essa opção é desabilitada por padrão.

Nota:

Essa opção não está disponível para o modo de roteamento de seletores de tráfego.

IP de destino

Digite o endereço IP de destino. Endereço IP original e não traduzido do endpoint de túnel de peer que está por trás de um dispositivo NAT. Este endereço IP não deve ser o endereço IP traduzido por NAT. Essa opção é necessária se o endpoint do túnel peer estiver por trás de um dispositivo NAT. A solicitação de ICMP de caminho de verificação é enviada a este endereço IP para que o peer possa gerar uma resposta ICMP.

Nota:

Essa opção não está disponível para o modo de roteamento de seletores de tráfego.

Tamanho do pacote

Digite o tamanho do pacote que é usado para verificar um datapath IPsec antes que a interface st0 seja criada. Intervalo: 64 a 1350 bytes. O valor padrão é de 64 bytes.

Nota:

Essa opção não está disponível para o modo de roteamento de seletores de tráfego.

Anti Replay

O IPsec protege contra ataques VPN usando uma sequência de números incorporados no pacote IPsec — o sistema não aceita um pacote com o mesmo número de sequência.

Essa opção é habilitada por padrão. O Anti-Replay verifica os números da sequência e aplica a verificação, em vez de apenas ignorar os números da sequência.

Desativar o Anti-Replay se houver um erro com o mecanismo IPsec que resulta em pacotes fora de ordem, o que impede a funcionalidade adequada.

Intervalo de instalação

Selecione o número máximo de segundos para permitir a instalação de uma associação de segurança de saída (SA) rekeyed no dispositivo. Selecione um valor de 1 a 10.

Tempo ocioso

Selecione o intervalo de tempo ocioso. As sessões e suas traduçãos correspondentes saem após um determinado período de tempo, se nenhum tráfego for recebido. O intervalo é de 60 a 999999 segundos.

DF Bit

Selecione como o dispositivo lida com o bit Don't Fragment (DF) no cabeçalho externo:

  • limpar (desabilitar) a broca DF do cabeçalho externo. Esse é o padrão.

  • cópia — Copie o bit DF para o cabeçalho externo.

  • definir — Definir (ativar) o bit DF no cabeçalho externo.

Copie o DSCP externo

Essa opção é habilitada por padrão. Isso permite a cópia do ponto de código de serviços diferenciados (DSCP) (DSCP+ECN externo) do pacote criptografado de cabeçalho IP externo para a mensagem de texto simples de cabeçalho IP interno no caminho de descriptografia. Habilitando esse recurso, após a descriptografia do IPsec, pacotes de texto claros podem seguir as regras internas de CoS (DSCP+ECN).